RDP를 이용하는 공격 기법 및 사례 분석
악성코드

RDP를 이용하는 공격 기법 및 사례 분석

개요 이전 블로그 “다양한 원격 제어 도구들을 악용하는 공격자들”[1] 에서는 공격자들이 감염 시스템에 대한 제어를 획득하기 위해 시스템 관리 목적으로 사용되는 다양한 원격 제어 도구들을 악용하는 사례들을 다루었다. 여기에서는 윈도우 운영체제에서 기본적으로 제공하는 RDP(Remote Desktop Protocol)을 이용하는 사례들을 다룬다. 실제 대부분의 공격에서는 RDP가 자주 사용되는데 이는 추가적인 설치 과정이 필요한

  • 10월 12 2022
다양한 원격 제어 도구들을 악용하는 공격자들
악성코드

다양한 원격 제어 도구들을 악용하는 공격자들

개요 일반적으로 공격자들은 스피어 피싱 메일의 첨부 파일이나 멀버타이징, 취약점, 정상 소프트웨어로 위장하여 악성코드를 웹사이트에 업로드하는 등 다양한 방식으로 악성코드를 설치한다. 설치되는 악성코드로는 감염 시스템의 정보를 탈취하기 위한 인포스틸러나 파일들을 암호화해 금전을 요구하는 랜섬웨어, DDoS 공격에 사용하기 위한 DDoS Bot 등이 있다. 이외에도 백도어 및 RAT 도 공격자들이 사용하는 대표적인

  • 10월 11 2022
GlobeImposter 랜섬웨어 국내 유포 중
악성코드

GlobeImposter 랜섬웨어 국내 유포 중

ASEC 분석팀은 최근 내부 모니터링을 통해 취약한 MS-SQL 서버를 대상으로 하는 GlobeImposter 랜섬웨어가 유포되고 있음을 확인하였다. 자사 TIP 서비스의 분기 별 통계 자료 중 올해 ‘2022년 1, 2분기 MS-SQL 대상 악성코드 통계 보고서’에서도 해당 GlobeImposter가 언급되어 있는데, 2분기에서는 MS-SQL 대상 랜섬웨어 중 GlobeImposter가 52.6%의 비중을 차지했다. 곧 공개될 3분기 통계에서도

  • 10월 05 2022
Excel Macro 로 유포되던 Qakbot, ISO 파일로 유포 중
악성코드

Excel Macro 로 유포되던 Qakbot, ISO 파일로 유포 중

최근 ISO 파일을 통한 악성코드 유포 방식이 증가하고 있다. 그 중 뱅킹형 악성코드인 Qakbot 의 유포 방식이 Excel 4.0 Macro 를 이용하던 것에서 ISO 파일을 이용하는 것으로 변경되어 유포 중인 것을 확인하였다. ASEC 블로그를 통해 Qakbot 외에도 AsyncRAT, IcedID, BumbleBee 악성코드가 ISO 파일을 이용한 사례를 소개해왔는데, 이처럼 최근 악성코드를 유포하는

  • 9월 30 2022
매그니베르(Magniber) 랜섬웨어 변경 (*.js -> *.wsf) – 09/28
악성코드

매그니베르(Magniber) 랜섬웨어 변경 (*.js -> *.wsf) – 09/28

ASEC 분석팀은 지난 9월 8일 매그니베르 랜섬웨어가 CPL 확장자 에서 JSE 확장자로 변경됨을 블로그를 통해 소개한 바 있다. 매그니베르(Magniber) 랜섬웨어 변경(*.cpl -> *.jse) – 9/8일자 – ASEC BLOG 7월 20일에 MSI 형식에서 CPL 형식으로 유포방식을 변경한 이후, 8월 중순 이후부터 유포가 잠시 주춤한 것으로 확인되고 있었다. 지속적으로 변화 상황을 모니터링

  • 9월 28 2022
워드 문서를 통해 유포되는 LockBit 3.0 랜섬웨어
악성코드

워드 문서를 통해 유포되는 LockBit 3.0 랜섬웨어

ASEC 분석팀은 9/23 공유한 <입사지원 위장 메일로 유포 중인 NSIS형태의 LockBit 3.0 랜섬웨어>가 워드 문서 형태로도 유포되는 것을 확인하였다. 정확한 유포 경로는 확인되지 않았으나, 유포 파일명으로 ‘임규민.docx’, ‘전채린.docx’ 등 사람 이름을 사용하는 것으로 보아 전과 유사하게 입사지원서를 위장하여 유포되었을 것으로 추정된다. 확인된 워드 문서 내부 word\_rels\settings.xml.rels 파일에 External 링크가 존재한다.

  • 9월 23 2022
라자루스 그룹의 BYOVD를 활용한 루트킷 악성코드 분석 보고서
APT 악성코드

라자루스 그룹의 BYOVD를 활용한 루트킷 악성코드 분석 보고서

북한의 해킹 그룹으로 알려진 라자루스 그룹은 지난 2009년부터 국내를 비롯하여 미국, 아시아, 유럽 등의 다양한 국가를 대상으로 공격을 수행하고 있다. 자사 ASD(AhnLab Smart Defense) 인프라에 따르면 2022년 상반기에 라자루스 그룹은 국내의 방산, 금융, 언론, 제약 산업군에 대해 APT(Advanced Persistent Threat) 공격 활동을 전개하였다. 안랩에서는 이러한 APT 공격을 면밀히 추적하였으며 공격

  • 9월 22 2022
입사지원 위장 메일로 유포 중인 NSIS형태의 LockBit 3.0 랜섬웨어
악성코드

입사지원 위장 메일로 유포 중인 NSIS형태의 LockBit 3.0 랜섬웨어

  ASEC 분석팀은 LockBit 2.0 랜섬웨어가 메일을 통해 유포되고 있음을 지난 2월, 6월에 걸쳐 블로그에 게시한 바 있는데, 새로운 버전의 LockBit 3.0 랜섬웨어가 유사 방식을 통해 여전히 다수 유포 중 임을 알리고자 한다. 지난 6월에는 저작권 사칭 메일로 다수 유포가 되었던 반면 최근에는 입사지원 관련으로 위장한 피싱 메일을 통해 유포

  • 9월 21 2022
취약한 MS-SQL 서버를 대상으로 유포 중인 FARGO 랜섬웨어
악성코드

취약한 MS-SQL 서버를 대상으로 유포 중인 FARGO 랜섬웨어

  ASEC 분석팀은 취약한 MS-SQL 서버를 대상으로 유포되는 악성 코드들을 지속해서 모니터링하고 있다. 최근 FARGO 랜섬웨어가 취약한 MS-SQL 서버를 대상으로 유포 중인 것을 확인하였다. FARGO 랜섬웨어는 GlobeImposter 랜섬웨어와 함께 취약한 MS-SQL 서버를 대상으로 유포되는 대표적인 랜섬웨어이며 과거에는 .mallox 확장자를 사용함에 따라 Mallox 랜섬웨어라고도 불린다. – [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로

  • 9월 19 2022
최신 매그니베르 랜섬웨어 V3 차단 영상 (AMSI + 메모리진단)
EndPoint 악성코드

최신 매그니베르 랜섬웨어 V3 차단 영상 (AMSI + 메모리진단)

ASEC 분석팀은 지난 9월 8일자 블로그를 통해 매그니베르 변형에 대한 내용을 소개하였다. 9월 16일부터는 매그니베르 랜섬웨어 스크립트가 자바 스크립트 인 것은 동일하지만, 확장자가 기존 *.jse에서 *.js로 변경되었다. 매그니베르가 9월 8일을 기점으로 자바 스크립트로 바뀌면서 동작 방식 또한 기존과 달라졌다. 현재 유포 중인 자바 스크립트 파일 내부에는 [그림 2]와 같은 닷넷

  • 9월 16 2022